Boletines de Vulnerabilidades |
Denegación de servicio en Apache 2.0 |
|
Clasificación de la vulnerabilidad |
|
| Propiedad | Valor |
| Nivel de Confianza | Oficial |
| Impacto | Denegación de Servicio |
| Dificultad | Experto |
| Requerimientos del atacante | Acceso remoto sin cuenta a un servicio estandar |
Información sobre el sistema |
|
| Propiedad | Valor |
| Fabricant afectat | GNU/Linux |
| Software afectado | Apache 2.0.37-2.0.45 |
Descripción |
|
|
Se han descubierto dos vulnerabilidades en las versiones 2.0.37 a 2.0.45 del servidor web Apache. Su explotación podría provocar una denegación de servicio en el servidor. Dichas vulnerabilidades se han hallado en los módulos "ARP" y "MPM". El servidor Apache utiliza la librería "ARP" (Apache Portable Runtime), escrita en C, que proporciona un entorno de sistema portable en diversos sistemas operativos. Con Apache 2.0, la estrategia seguida para procesar las peticiones ha sido sintetizada en el módulo "MPM". En este modelo, un proceso distinto gestiona cada conexión. Por defecto, Apache 2.0 utiliza este modelo en la plataforma Unix. Sin embargo, compilando el servidor Apache 2.0 con la opción "with-mpm=worker", las peticiones al servidor servidor son manejadas mediante "threads". |
|
Solución |
|
|
Actualización de software Instale la versión 2.0.46 o posterior http://httpd.apache.org/download.cgi |
|
Identificadores estándar |
|
| Propiedad | Valor |
| CVE |
CAN-2003-0245 CAN-2003-0189 |
| BID | |
Recursos adicionales |
|
|
Bugtraq archive dated May 28, 2003 http://marc.theaimsgroup.com/?l=bugtraq&m=105418115512559&w=2 Linux Mandrake security advisory MDKSA-2003:063 dated May 30, 2003 http://www.mandrakesecure.net/en/advisories/advisory.php?name=MDKSA-2003:063 Linux RedHat security advisory RHSA-2003:186 dated May 28, 2003 http://www.redhat.com/support/errata/RHSA-2003-186.html Apache document http://www.apache.org/dist/httpd/Announcement2.html SECURITY BULLETIN HPSBUX0307-269 http://www5.itrc.hp.com/service/cki/docDisplay.do?docId=HPSBUX0307-269 |
|
Histórico de versiones |
||
| Versión | Comentario | Data |
| 1.0 | Aviso emitido | 2003-06-04 |